Bilaga III till EU:s AI-förordning (förordning (EU) 2024/1689) pekar ut de användningsområden där AI-system klassas som högrisk. Att förstå dessa kategorier är utgångspunkten för varje tillhandahållares riskbedömning. Förordningen gäller direkt i Sverige; ingen separat svensk implementeringslag krävs för själva AI-förordningen.
De åtta kategorierna
Bilaga III omfattar följande områden:
- Biometri – vissa system för biometrisk identifiering, kategorisering och känsloigenkänning.
- Kritisk infrastruktur – AI som säkerhetskomponent i förvaltning och drift av kritisk infrastruktur.
- Utbildning och yrkesutbildning – exempelvis tillträde, antagning och bedömning.
- Anställning och arbetstagare – rekrytering, urval samt beslut som påverkar arbetsvillkor.
- Väsentliga tjänster – tillgång till väsentliga privata och offentliga tjänster och förmåner.
- Brottsbekämpning – vissa användningar av AI inom brottsbekämpande verksamhet.
- Migration, asyl och gränskontroll – vissa system inom dessa förfaranden.
- Rättskipning och demokratiska processer – stöd till rättsliga myndigheter och vissa system som rör val.
Att ett system används inom ett av dessa övergripande områden innebär inte automatiskt högrisk; de specifika användningsfallen och eventuella undantag i Bilaga III måste prövas i det enskilda fallet.
Tillhandahållarperspektivet
Förordningen skiljer mellan leverantör (provider) och tillhandahållare (deployer, även kallad driftsättare). De flesta organisationer som tar i bruk ett inköpt högrisksystem är tillhandahållare. Skyldigheterna för tillhandahållare framgår av artikel 26 och omfattar bland annat att:
- använda systemet enligt leverantörens bruksanvisning
- säkerställa mänsklig tillsyn av kompetent personal (jfr artikel 14)
- övervaka driften och rapportera allvarliga incidenter
- säkerställa att indata är relevanta för det avsedda ändamålet
I vissa fall ska tillhandahållaren genomföra en konsekvensbedömning avseende grundläggande rättigheter (FRIA) enligt artikel 27. Observera att artikel 25 kan omklassificera en tillhandahållare till leverantör, exempelvis vid väsentlig ändring eller egen namnsättning – vilket utlöser de mer omfattande leverantörsskyldigheterna.
När gäller skyldigheterna
- 2 augusti 2026: Bilaga III-skyldigheterna för tillhandahållare gäller från detta datum enligt den ursprungliga tidslinjen. Samma datum börjar artikel 50 (transparens) gälla.
- 2 december 2027: En uppskjutning av Bilaga III-skyldigheterna är föreslagen via Digital Omnibus (godkänd av Europaparlamentet 16 juni 2026; rådet inväntar OJ-publicering). Detta är ett Digital Omnibus-förslag och är ännu ej i kraft.
Eftersom uppskjutningen ännu inte är i kraft bör planeringen utgå från den nuvarande tidpunkten 2 augusti 2026, samtidigt som utvecklingen kring Digital Omnibus bevakas.
Sanktioner
Böter regleras i artikel 99. Förbjudna metoder enligt artikel 5 kan ge upp till 35 miljoner EUR eller 7 % av global årsomsättning. Överträdelser av bland annat högriskskyldigheter och artikel 50 kan ge upp till 15 miljoner EUR eller 3 %. Oriktig eller vilseledande information kan ge upp till 7,5 miljoner EUR eller 1 %.
Inför inköp
- Identifiera om systemets användningsfall faller inom någon av de åtta Bilaga III-kategorierna.
- Pröva specifika användningsfall och undantag, inte bara det övergripande området.
- Fastställ er roll: tillhandahållare eller leverantör – och bevaka artikel 25.
- Förbered artikel 26-efterlevnad: bruksanvisning, mänsklig tillsyn, övervakning och incidentrapportering.
- Bedöm om en FRIA enligt artikel 27 krävs.
- Planera mot 2 augusti 2026 och bevaka Digital Omnibus-förslaget om 2 december 2027.
PowerQuant levereras som dokumentationsstöd: Modul 1 (AI-inventering + Artikel 4-register) och Modul 2 (Leverantörsdokumentationspaket). SEK-priser är preliminära.
Detta är allmän information, inte juridisk rådgivning.